1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

picoCTF 2021 Disk, disk, sleuth! II writeup

Last updated at Posted at 2021-03-30

ネットでやり方を見つければ簡単に出来る問題ではあるが,自分としては,Linuxの削除ファイルの復元をEnCase等に頼らず,初めて無料ツールでやったので記録を残しておく。
image.png

down-at-the-bottom.txtを探せとのこと

マウントしてファイルを探してみる

$ file dds2-alpine.flag.img 
dds2-alpine.flag.img: DOS/MBR boot sector; partition 1 : ID=0x83, active, start-CHS (0x0,32,33), end-CHS (0x10,81,1), startsector 2048, 260096 sectors

$ fdisk -l -u dds2-alpine.flag.img
ディスク dds2-alpine.flag.img: 128 MiB, 134217728 バイト, 262144 セクタ
単位: セクタ (1 * 512 = 512 バイト)
セクタサイズ (論理 / 物理): 512 バイト / 512 バイト
I/O サイズ (最小 / 推奨): 512 バイト / 512 バイト
ディスクラベルのタイプ: dos
ディスク識別子: 0x5d8b75fc

デバイス              起動 開始位置 最後から セクタ サイズ Id タイプ
dds2-alpine.flag.img1 *        2048   262143 260096   127M 83 Linux

$ sudo mount -o loop,offset=$((2048*512)) dds2-alpine.flag.img /mnt/test

$ grep -r "down-at-the-bottom.txt" *

やっぱりダメ。

ヒント見る

参考にしたサイト

fls 参考にしたサイト

$ fls -r -b 512 -o 2048 dds2-alpine.flag.img | grep "down-at-the-bottom.txt"

 r/r 18291:	down-at-the-bottom.txt

iノード番号がわかった。

icat 参考にしたサイト

$ icat -b 512 -o 2048 dds2-alpine.flag.img 18291

   _     _     _     _     _     _     _     _     _     _     _     _     _  
  / \   / \   / \   / \   / \   / \   / \   / \   / \   / \   / \   / \   / \ 
 ( p ) ( i ) ( c ) ( o ) ( C ) ( T ) ( F ) ( { ) ( f ) ( 0 ) ( r ) ( 3 ) ( n )
  \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/ 
   _     _     _     _     _     _     _     _     _     _     _     _     _  
  / \   / \   / \   / \   / \   / \   / \   / \   / \   / \   / \   / \   / \ 
 ( s ) ( 1 ) ( c ) ( 4 ) ( t ) ( 0 ) ( r ) ( _ ) ( n ) ( 0 ) ( v ) ( 1 ) ( c )
  \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/ 
   _     _     _     _     _     _     _     _     _     _     _  
  / \   / \   / \   / \   / \   / \   / \   / \   / \   / \   / \ 
 ( 3 ) ( _ ) ( 0 ) ( b ) ( a ) ( 8 ) ( d ) ( 0 ) ( 2 ) ( d ) ( } )
  \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/   \_/ 
1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?